- - 6 parasta isäntäpohjaista tunkeutumisen havaitsemisjärjestelmää (HIDS) vuonna 2019

6 parasta isäntäpohjaista tunkeutumisen havaitsemisjärjestelmää (HIDS) vuonna 2019

En haluaisi kuulostaa liian vainoharhaiselta, vaikka minäkintodennäköisesti, mutta tietoverkkorikollisuus on kaikkialla. Jokaisesta organisaatiosta voi tulla hakkereiden kohde, joka yrittää käyttää tietojaan. Siksi on ensiarvoisen tärkeää pitää silmällä asiat ja varmistaa, että emme joudu näiden väärin tarkoittamien henkilöiden uhreiksi. Aivan ensimmäinen puolustuslinja on Tunkeutumisen tunnistusjärjestelmä. Host- järjestelmät soveltavat havaitsemistaan ​​isäntätasolla ja havaitsevat tyypillisesti useimmat tunkeutumisyritykset nopeasti ja ilmoittavat sinulle heti, jotta voit korjata tilanteen. Niin monella isäntäpohjaisella tunkeutumisen tunnistuksellakäytettävissä olevien järjestelmien kanssa, parhaan valitseminen tilanteeseesi voi vaikuttaa haasteelta. Jotta näet selvästi, olemme koonneet luettelon parhaista isäntäpohjaisista tunkeutumisen havaitsemisjärjestelmistä.

Ennen kuin paljastamme parhaat työkalut, siirrymme eteenpäinlyhyesti ja katsomaan erityyppisiä tunkeutumisen havaitsemisjärjestelmiä. Jotkut ovat isäntäpohjaisia, kun taas toiset ovat verkkopohjaisia. Selitämme erot. Keskustelemme sitten eri tunkeutumisen havaitsemismenetelmistä. Joillakin työkaluilla on allekirjoitusperustainen lähestymistapa, kun taas toisilla etsitään epäilyttävää käyttäytymistä. Parhaimmat käyttävät molempien yhdistelmää. Ennen jatkamista selitämme tunkeutumisen havaitsemisen ja tunkeutumisen estävien järjestelmien erot, koska on tärkeää ymmärtää mitä tarkastelemme. Olemme sitten valmiita tämän viestin ytimeen, parhaisiin isäntäpohjaisiin tunkeutumisen havaitsemisjärjestelmiin.

Kaksi tyyppiä tunkeutumisen havaitsemisjärjestelmiä

Tunkeutumista on pääasiassa kahta tyyppiäTunnistusjärjestelmät. Vaikka heidän tavoitteensa on identtinen - havaita nopeasti kaikki tunkeutumisyritykset tai epäilyttävät toimet, jotka voivat johtaa tunkeutumisyritykseen, ne eroavat toisistaan ​​sijainnissa, jossa tämä ilmaisu suoritetaan. Tätä käsitettä kutsutaan usein täytäntöönpanopisteeksi. Jokaisella tyypillä on etuja ja haittoja, ja yleisesti ottaen ei ole yksimielisyyttä siitä, mikä niistä on parempi. Itse asiassa paras ratkaisu - tai turvallisin - on todennäköisesti ratkaisu, joka yhdistää molemmat.

Isäntä tunkeutumisen havaitsemisjärjestelmät (HIDS)

Ensimmäisen tyyppinen tunkeutumisen havaitsemisjärjestelmä,yksi, josta olemme tänään kiinnostuneita, toimii isäntätasolla. Saatat arvata, että sen nimestä. HIDS tarkistaa esimerkiksi eri lokitiedostot ja päiväkirjat epäilyttävien toimien varalta. Toinen tapa, jolla he havaitsevat tunkeutumisyritykset, on tarkistaa tärkeät kokoonpanotiedostot luvattomien muutosten varalta. He voivat myös tutkia samat kokoonpanotiedostot tiettyjen tunnettujen tunkeutumismallien varalta. Esimerkiksi tietyn tunkeutumismenetelmän voidaan tuntea toimivan lisäämällä tietty parametri tiettyyn konfiguraatiotiedostoon. Hyvä isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä saisi sen kiinni.

Suurimman osan ajasta HIDS asennetaan suoraanlaitteita, joiden on tarkoitus suojata. Ne on asennettava kaikkiin tietokoneisiin. Toiset vaativat vain paikallisen edustajan asentamisen. Jotkut jopa tekevät kaiken työnsä etänä. Riippumatta siitä, kuinka ne toimivat, hyvissä HIDS: issä on keskitetty konsoli, jossa voit hallita sovellusta ja tarkastella sen tuloksia.

Verkon tunkeutumisen havaitsemisjärjestelmät (NIDS)

Toinen tyyppi tunkeutumisen havaitsemisjärjestelmä nimeltäänVerkon tunkeutumisen havaitsemisjärjestelmät eli NIDS toimivat verkon rajalla valvoakseen havaitsemista. He käyttävät samanlaisia ​​menetelmiä kuin isäntä tunkeutumisen havaitsemisjärjestelmät, kuten havaitsevat epäilyttävät toimet ja etsivät tunnettuja tunkeutumismalleja. Lokien ja määritystiedostojen tarkastelun sijasta ne seuraavat kuitenkin verkkoliikennettä ja tutkivat kaikkia yhteyspyyntöjä. Jotkut tunkeutumismenetelmät hyödyntävät tunnettuja haavoittuvuuksia lähettämällä tarkoituksella epämuodostuneita paketteja isäntille, saaden ne reagoimaan tietyllä tavalla, joka sallii niiden rikkomisen. Verkon tunkeutumisen havaitsemisjärjestelmä havaitsisi helposti tällaisen yrityksen.

Jotkut väittävät, että NIDS ovat parempia kuin HIDShavaitse hyökkäykset jo ennen kuin ne edes pääsevät järjestelmiin. Jotkut pitävät niitä parempana, koska he eivät vaadi mitään asentamista jokaiselle isäntälle tehokkaasti suojaamaan niitä. Toisaalta ne tarjoavat vain vähän suojaa sisäpiirihyökkäyksiltä, ​​jotka eivät valitettavasti ole harvinaisia. Tunnistamiseksi hyökkääjän on käytettävä polkua, joka kulkee NIDS: n läpi. Näistä syistä paras suoja saadaan todennäköisesti käyttämällä kummankin tyyppisiä työkaluja.

Tunkeutumisen havaitsemismenetelmät

Aivan kuten on olemassa kahden tyyppisiä tunkeutumisiahavaitsemisvälineitä, tunkeutumisyritysten havaitsemiseksi käytetään pääasiassa kahta erilaista menetelmää. Tunnistus voisi olla allekirjoitus- tai poikkeavuuspohjainen. Allekirjoituspohjainen tunkeutumisen havaitseminen toimii analysoimalla tietoja erityisistä malleista, jotka on liitetty tunkeutumisyrityksiin. Tämä on samanlainen kuin perinteiset viruksentorjuntajärjestelmät, jotka tukeutuvat virusmääritelmiin. Samoin allekirjoituspohjainen tunkeutumisen havaitseminen riippuu tunkeutumissignaaleista tai -malleista. He vertaa tietoja tunkeutumiskirjaimiin yritysten tunnistamiseksi. Niiden suurin haittapuoli on, että ne eivät toimi ennen kuin oikeat allekirjoitukset on ladattu ohjelmistoon. Valitettavasti tämä tapahtuu tyypillisesti vasta sen jälkeen, kun tietty määrä koneita on hyökätty ja tunkeutumiskirjaimien julkaisijoilla on ollut aika julkaista uusia päivityspaketteja. Jotkut toimittajat ovat melko nopeita, kun taas toiset pystyivät reagoimaan vasta päiviä myöhemmin.

Toinen poikkeavuuteen perustuva tunkeutumisen havaitseminenmenetelmä tarjoaa paremman suojan nollapäivän hyökkäyksiltä, ​​jotka tapahtuvat ennen kuin muille tunkeutumisen havaitsemisohjelmistoille on ollut mahdollisuus hankkia oikea allekirjoitustiedosto. Nämä järjestelmät etsivät poikkeavuuksia sen sijaan, että yrittäisivät tunnistaa tunnetut tunkeutumismallit. Ne voidaan laukaista esimerkiksi, jos joku yrittää käyttää järjestelmää väärin salasanalla useita kertoja peräkkäin, mikä on yleinen merkki raa'asta voimasta. Epäilyttävä toiminta voidaan havaita nopeasti. Jokaisella havaitsemismenetelmällä on edut ja haitat. Aivan kuten työkalutyypeissä, parhaatkin työkalut ovat niitä, jotka käyttävät allekirjoitus- ja käyttäytymisanalyysin yhdistelmää parhaan suojan saavuttamiseksi.

Detection Vs ehkäisy - tärkeä erottelu

Olemme keskustelleet tunkeutumisen havaitsemisjärjestelmistämutta monet teistä ovat ehkä kuulleet tunkeutumisen estävistä järjestelmistä. Ovatko nämä kaksi käsitettä identtisiä? Helppo vastaus on ei, koska nämä kaksi työkalutyyppiä palvelevat eri tarkoitusta. Niiden välillä on kuitenkin jonkin verran päällekkäisyyksiä. Kuten nimensä osoittaa, tunkeutumisen havaitsemisjärjestelmä havaitsee tunkeutumisyritykset ja epäilyttävät toimet. Kun se havaitsee jotain, se yleensä laukaisee jonkinlaisen hälytyksen tai ilmoituksen. Järjestelmänvalvojien on sitten toteutettava tarvittavat toimenpiteet tunkeutumisyrityksen lopettamiseksi tai estämiseksi.

Tunkeutumisen estäviä järjestelmiä (IPS) tehdäänestää tunkeutumiset tapahtumasta kokonaan. Aktiiviseen IPS: ään kuuluu tunnistuskomponentti, joka käynnistää automaattisesti jonkin korjaustoimenpiteen aina, kun tunkeutumisyritys havaitaan. Tunkeutumisen estäminen voi olla myös passiivinen. Ilmauksella voidaan viitata mihin tahansa, joka on tehty tai otettu käyttöön keinona estää tunkeutumista. Esimerkiksi salasanan kovettumista voidaan ajatella tunkeutumisen estävänä toimenpiteenä.

Paras isäntä tunkeutumisen havaitsemisen työkalut

Olemme etsineet markkinoilta parasta isäntäpohjaistatunkeutumisen havaitsemisjärjestelmät. Meillä on sinulle sekoitus todellisia HIDS-ohjelmia ja muita ohjelmistoja, joissa, vaikka niitä ei kutsuta itseään tunkeutumisen havaitsemisjärjestelmiksi, on tunkeutumisen havaitsemiskomponentti tai niitä voidaan käyttää tunkeutumisyritysten havaitsemiseen. Katsotaanpa parhaita suosituksiamme ja katsotaan niiden parhaat ominaisuudet.

1. SolarWinds Log & Event Manager (Ilmainen kokeilu)

Ensimmäinen kirjoituksemme on yleisestä nimestä SolarWindsverkonhallintatyökalujen alalla. Yhtiö on toiminut noin 20 vuotta ja on tuonut meille joitain parhaista verkko- ja järjestelmänhallintatyökaluista. Se on myös tunnettu monista ilmaisista työkaluista, jotka vastaavat verkonvalvojien tiettyihin tarpeisiin. Kaksi hienoa esimerkkiä ilmaisista työkaluista ovat Kiwi Syslog Server ja Advanced Subnet Calculator.

Älä anna SolarWinds Log & Event ManagerNimi huijaa sinua. Se on paljon enemmän kuin vain lokien ja tapahtumien hallintajärjestelmä. Monet tämän tuotteen edistyneistä ominaisuuksista asettavat sen turvallisuustietojen ja tapahtumien hallinnan (SIEM) valikoimaan. Muut ominaisuudet määrittelevät sen tunkeutumisen havaitsemisjärjestelmäksi ja jopa tietyssä määrin tunkeutumisen estäväksi järjestelmäksi. Tämä työkalu sisältää esimerkiksi reaaliaikaisen tapahtuman korrelaation ja reaaliaikaisen korjauksen.

SolarWinds-loki- ja tapahtumahallinnan näyttökuva

  • ILMAINEN KOKEILU: SolarWinds Log & Event Manager
  • Virallinen latauslinkki: https://www.solarwinds.com/log-event-manager-software/registration

Ja SolarWinds Log & Event Manager ominaisuudet havaitsevat epäilyttävät välittömästiaktiviteetti (IDS: n kaltainen toiminnallisuus) ja automatisoidut vastaukset (IPS: n kaltainen toiminto). Se voi myös suorittaa tietoturvatapahtumien tutkinnan ja rikostutkimuksen sekä lieventämistä että noudattamista varten. Tilintarkastustodistuksessa ilmoitetun raportoinnin ansiosta työkalua voidaan käyttää myös osoittamaan muun muassa HIPAA: n, PCI-DSS: n ja SOX: n noudattaminen. Työkalussa on myös tiedostojen eheyden valvonta ja USB-laitteen valvonta, mikä tekee siitä paljon enemmän integroidun tietoturvaympäristön kuin pelkkä lokin ja tapahtumien hallintajärjestelmän.

Hinnoittelu SolarWinds Log & Event Manager alkaa 4585 dollarista jopa 30 valvotulle solmulle. Enintään 2500 solmun lisenssejä voi ostaa, mikä tekee tuotteesta erittäin skaalautuvan. Jos haluat viedä tuotteen koeajoon ja tarkistaa itse, onko se sinulle sopiva, on saatavilla ilmainen täyspäivitetty 30 päivän kokeiluversio.

2. OSSEC

Avoimen lähdekoodin tietoturvatai OSSEC, on ylivoimaisesti johtava avoimen lähdekoodin isäntäpohjainentunkeutumisen tunnistusjärjestelmä. Tuotteen omistaa Trend Micro, yksi IT-tietoturvan johtavista nimistä ja yhden parhaimmista virustorjuntaohjelmistovalmistajista. Asennettuna Unix-tyyppisiin käyttöjärjestelmiin ohjelmisto keskittyy ensisijaisesti loki- ja määritystiedostoihin. Se luo tarkistussummia tärkeistä tiedostoista ja vahvistaa ne säännöllisin väliajoin, varoittaen sinua, kun tapahtuu jotain outoa. Se myös tarkkailee ja hälyttää kaikista epänormaalista yrityksestä päästä juureen. Windows-isäntälaitteissa järjestelmä pitää myös silmällä luvattomia rekisterimuutoksia, jotka voivat olla ilmaisun merkki haitallisesta toiminnasta.

OSSEC Dashboard-näyttökuva

Koska se on isäntäpohjainen tunkeutumisen havaitsemisjärjestelmä, OSSEC on asennettava jokaiseen suojattavaan tietokoneeseen. Keskitetty konsoli kuitenkin yhdistää tiedot kustakin suojatusta tietokoneesta hallinnan helpottamiseksi. Samalla kun OSSEC konsoli toimii vain Unix-kaltaisissa käyttöjärjestelmissä,agentti on saatavana Windows-koneiden suojaamiseksi. Mahdolliset havainnot laukaisevat hälytyksen, joka näkyy keskitetyssä konsolissa, kun taas ilmoitukset lähetetään myös sähköpostitse.

3. Samhain

Samhain on toinen tunnettu ilmainen isäntä-tunkeutuminenhavaitsemisjärjestelmä. Sen pääpiirteet IDS: n kannalta ovat tiedostojen eheyden tarkistaminen ja lokitiedostojen seuranta / analyysi. Se tekee kuitenkin paljon enemmän. Tuote suorittaa rootkit-tunnistuksen, porttiseurannan, roistojen SUID-suoritettavien tiedostojen ja piilotettujen prosessien havaitsemisen. Työkalu on suunniteltu tarkkailemaan useita isäntiä, jotka käyttävät erilaisia ​​käyttöjärjestelmiä, samalla kun ne tarjoavat keskitetyn kirjaamisen ja ylläpidon. Kuitenkin, Samhain voidaan käyttää myös erillisenä sovelluksenayksi tietokone. Ohjelmisto toimii pääasiassa POSIX-järjestelmissä, kuten Unix, Linux tai OS X. Se voi toimia myös Windowsissa, Cygwin, paketti, joka sallii POSIX-sovellusten ajamisen Windowsissa, vaikka vain seuranta-agentti on testattu tässä kokoonpanossa.

Samhain IDS-näyttökuva

Yksi SamhainAinutlaatuisin ominaisuus on sen varkaustila, jokaantaa sen ajaa ilman, että mahdolliset hyökkääjät tunnistavat sitä. Tunkeilijoiden on tiedetty tappavan nopeasti tunnistusprosessit, jotka he tunnistavat heti, kun ne tulevat järjestelmään ennen havaitsemistaan, jolloin ne voivat jäädä huomaamatta. Samhain käyttää steganografisia tekniikoita piilottaakseen prosessinsa muilta. Se suojaa myös keskuslokitiedostot ja kokoonpanovarmuuskopiot PGP-avaimella peukaloinnin estämiseksi.

4. fail2ban

fail2ban on ilmainen ja avoimen lähdekoodin tunkeutuminentunnistusjärjestelmä, joka sisältää myös joitain tunkeutumisen estäviä ominaisuuksia. Ohjelmistotyökalu tarkkailee lokitiedostoja epäilyttävien toimien ja tapahtumien, kuten epäonnistuneiden kirjautumisyritysten, hyväksikäytön etsimisen jne. Suhteen. Työkalun oletustoiminto on aina päivittää paikalliset palomuurisäännöt, kun se havaitsee jotain epäilyttävää paikallisen palomuurisääntöjen estämiseksi. haitallista käyttäytymistä. Todellisuudessa tämä ei ole totta tunkeutumisen estäminen, vaan pikemminkin tunkeutumisen havaitsemisjärjestelmä, jossa on automaattiset korjaustoiminnot. Äskettäin kuvailemme työkalun oletustoimintoa, mutta myös kaikki muut mielivaltaiset toimet - kuten sähköposti-ilmoitusten lähettäminen - voidaan konfiguroida, mikä tekee niistä käyttämään "klassisempaa" tunkeutumisen havaitsemisjärjestelmää.

Fail2Ban-näyttökuva

fail2ban tarjotaan useilla valmiilla suodattimillajoitain yleisimmistä palveluista, kuten Apache, SSH, FTP, Postfix ja monet muut. Kuten selitimme, ennaltaehkäisy suoritetaan muuttamalla isännän palomuuritaulukoita. Työkalu voi toimia Netfilterin, IPtable-sovellusten tai TCP Wrapper -sovelluksen hosts.deny kanssa. Jokainen suodatin voidaan liittää yhteen tai useampaan toimintoon.

5. AVUSTAJA

Ja Edistynyt tunkeutumisen havaitsemisympäristötai AVUSTAJA, on toinen ilmainen isäntä tunkeutumisen havaitsemisjärjestelmäTämä keskittyy pääasiassa rootkit-havaitsemiseen ja tiedostojen allekirjoitusten vertailuihin. Kun asennat sen ensin, työkalu kokoaa lajitellun järjestelmänvalvojatietojen tietokannan järjestelmän määritystiedostoista. Tätä tietokantaa voidaan sitten käyttää lähtökohtana, jota vastaan ​​kaikkia muutoksia voidaan verrata ja lopulta tarvittaessa kääntää takaisin.

AIDE-näyttökuva

AVUSTAJA käyttää sekä allekirjoitusperusteista ettäpoikkeavuuteen perustuvat havaitsemisjärjestelmät. Tämä on työkalu, jota käytetään pyydettäessä, eikä sitä ole ajoitettu tai jatkuvasti käynnissä. Itse asiassa tämä on tuotteen suurin haittapuoli. Koska kyse on komentorivityökalusta sen sijaan, että se olisi GUI-pohjainen, cron-työ voidaan luoda sen ajamiseksi säännöllisin väliajoin. Jos päätät käyttää työkalua usein - esimerkiksi kerran minuutissa, saat melkein reaaliaikaista tietoa ja sinulla on aikaa reagoida ennen kuin kaikki tunkeutumisyritykset ovat menneet liian pitkälle aiheuttaneet paljon vahinkoa.

Sen ytimessä AVUSTAJA on vain tietojen vertailutyökalu, mutta sen avullamuutamasta ulkoisesta ajoitetusta skriptistä, siitä voidaan tehdä tosi HIDS. Muista, että tämä on kuitenkin lähinnä paikallinen työkalu. Sillä ei ole keskitettyä hallintaa eikä hienoa käyttöliittymää.

6. Sagan

Viimeinen luettelossamme on Sagan, joka on oikeastaan ​​enemmän lokin analysointijärjestelmääkuin todellinen IDS. Sillä on kuitenkin joitain IDS: n kaltaisia ​​ominaisuuksia, minkä vuoksi se ansaitsee paikan luettelossamme. Työkalu tarkkailee paikallisesti lokitiedostoja järjestelmästä, johon se on asennettu, mutta se voi toimia myös muiden työkalujen kanssa. Se voisi esimerkiksi analysoida Snortin lokit lisäämällä tehokkaasti Snortin NIDS-toiminnot siihen, mikä on pohjimmiltaan HIDS. Se ei ole vain vuorovaikutuksessa Snortin kanssa. Sagan voi olla vuorovaikutuksessa myös Surikatan kanssa ja se on yhteensopiva useiden sääntöjen rakennustyökalujen, kuten Oinkmaster tai Pulled Pork, kanssa.

Sagan-näyttökuva

Sagan on myös komentosarjojen suorituskyky, joka voitee siitä raaka tunkeutumisen estävä järjestelmä edellyttäen, että kehität joitain korjaustoimenpiteitä. Vaikka tätä työkalua ei todennäköisesti käytetä ainoana suojana tunkeutumiselta, se voi olla loistava osa järjestelmää, joka voi sisältää monia työkaluja korreloimalla tapahtumia eri lähteistä.

Lue myös

Suorita verkon suojaustarkastus Nmap Security -skannerilla
Muokkaa ja palauta Windows-isäntätiedostoja ja estä verkkosivustoja isäntämekanismin avulla
SolarWinds-uhkamonitori - ARVOSTELU 2019 (edistynyt uhkien havaitseminen ja seuranta)
SolarWinds Log & Event Manager vs. Splunk - vertaileva katsaus
Etäkäyttö Troijalaiset (RAT) - Mitä ne ovat ja kuinka suojata heitä vastaan?
7 parasta tunkeutumisen estävää järjestelmää (IPS) vuodelle 2019
Verkkopohjaiset tunkeutumisen havaitsemisjärjestelmät: 5 parasta käytettävää NIDS-työkalua
6 parasta tietoturva- ja tapahtumahallintatyökalua (SIEM), jotka kannattaa tarkistaa vuonna 2019
14 parasta verkon suojaustyökalua turvallisemmille ympäristöille vuonna 2019
10 parasta tunkeutumisen havaitsemisen työkalua: parhaat ilmaiset vaihtoehdot vuodelle 2019
Äärimmäinen opas verkkoturvallisuuteen - mukaan lukien välttämättömät työkalut
Lisää Ok Google Detection kaikkiin laitteen näytöihin [Ei juuria]

Kommentit